Intrusion Internet Explorer signalée par Kerio!

Réseaux & telecom Internet
1

Bonsoir,

J’ai besoin de vos lumières car je n’ai pas trouvé de solution à mon problème.

Depuis hier, alors que je n’ai rien installé depuis, mon firewall Kerio Personal Firewall 4 m’affiche cet écran dès que j’exécute Internet Explorer:

http://img523c.imageshack.us/img523/6688/intrusion01yr9.jpg

Quand je vais dans le journal d’alertes de Kerio, l’onglet HIPS (HIPS = Système d’Intrusion et de Prévention d’Hôtes de Kerio qui “empêche les attaques vers des applications vulnérables en bloquant tout comportement non légitime des applications en question”) m’affiche ceci:

http://img301.imageshack.us/img301/7675/intrusion02yj7.jpg

Evidement, j’ai balayé tout mon PC avec AVG 8.0 qui est mon anti-virus résident.
J’ai même réalisé un scan en ligne sur le site de Symantec.
J’ai balayé aussi mes disques-durs avec SpyBot Search & Destroy 4… mais ils ne trouvent rien!

Voici, si cela peut vous aider, les droits que j’ai autorisés à Internet Explorer:

http://img178.imageshack.us/img178/6526/intrusion03gq6.jpg

… Et voici la liste des programmes qui sont démarrés par mon Windows (en gras, j’ai noté les programmes que j’ai pu identifiés et qui ne peuvent être à l’origine de mon problème à mon avis, en revanche je ne sais pas identifier plusieurs des DLLs auto-démarrées):

http://img295.imageshack.us/img295/4332/intrusion04re0.jpg

Pour terminer, je précise que je tourne sous Windows XP-SP3 et que, lorsque je démarre FireFox, tout est OK…

Merci de vos lumières!
Edité le 17/09/2008 à 02:05

2

Voici en plus le rapport HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:25:29, on 17/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\xp\AVG\AVG8\avgwdsvc.exe
D:\Program Files\xp\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
D:\Program Files\xp\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\xp\AVG\AVG8\avgrsx.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\xp\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\PROGRA~1\xp\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe~
D:\Program Files\xp\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\PROGRA~1\xp\AVG\AVG8\avgemc.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\xp\AVG\AVG8\avgui.exe
C:\Program Files\xp\AVG\AVG8\avgscanx.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\xp\Mozilla Firefox\firefox.exe
C:\Program Files\xp\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\xp\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.fr…
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = go.microsoft.com…
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {259BAFF4-563B-493B-88CF-2EB69E011F9A} - C:\WINDOWS\system32\jkkll.dll (file missing)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\xp\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\xp\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\xp\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: Catcher Class - {ADECBED6-0366-4377-A739-E69DFBA04663} - C:\Program Files\xp\FLV Downloader\MoyeaCth.dll
O2 - BHO: PicLens plug-in for Internet Explorer - {EAEE5C74-6D0D-4aca-9232-0DA4A7B866BA} - C:\Program Files\PicLensIE\PicLens.dll
O3 - Toolbar: Babylon - {965B54B0-71E0-4611-8DE7-F73FA0B20E26} - C:\Program Files\xp\Babylon\Babylon-Pro\Babylon Toolbar\BabylonIEToolBar.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\xp\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM…\Run: [SunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe”
O4 - HKLM…\Run: [IAAnotif] C:\Program Files\xp\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM…\Run: [SoundMAXPnP] --C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM…\Run: [SoundMAX] --“C:\Program Files\Analog Devices\SoundMAX\Smax4.exe” /tray
O4 - HKLM…\Run: [NvCplDaemon] --RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [nwiz] --nwiz.exe /install
O4 - HKLM…\Run: [NvMediaCenter] --RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM…\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM…\Run: [PCSuiteTrayApplication] C:\Program Files\xp\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM…\Run: [AVG8_TRAY] C:\PROGRA~1\xp\AVG\AVG8\avgtray.exe
O4 - HKLM…\Run: [BVRPLiveUpdate] C:\Program Files\Avanquest update\Engine\Setup.exe -s /PATCH,/SRCUPDATEC:\DOCUME~1\ALLUSE~1\APPLIC~1\SONYER~1\SONYER~1\LIVEUP~1\LISTOF~1.DAT
O4 - HKLM…\RunServices: [Winpower] C:\Program Files\xpUpsPilot\Winpower.exe
O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU…\Run: [RocketDock] “C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe~”
O4 - HKCU…\Run: [msnmsgr] “C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe” /background
O4 - HKCU…\Run: [SFS6] “C:\Program Files\xp\Steganos Secure FileSharing 6\sfs.exe” /booting
O4 - HKCU…\Run: [Sony Ericsson PC Suite] “C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe” /systray /nologon
O4 - HKLM…\Policies\Explorer\Run: [GNRJRfq4JP] C:\Documents and Settings\All Users\Application Data\uvmvsjgh\wpavszuv.exe
O4 - HKUS\S-1-5-18…\Run: [Nokia.PCSync] C:\Program Files\xp\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\Run: [Nokia.PCSync] C:\Program Files\xp\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User ‘Default user’)
O4 - Global Startup: RocketDock.lnk = ?
O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\xp\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\xp\SPYBOT~1\SDHelper.dll
O9 - Extra ‘Tools’ menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\xp\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - support.asus.com…
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - security.symantec.com…
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - update.microsoft.com…
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - security.symantec.com…
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - www.update.microsoft.com…
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - www.girafoto.fr…
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - fpdownload2.macromedia.com…
O17 - HKLM\System\CCS\Services\Tcpip…{6D871AFD-84F6-45BF-B50D-C206BD66C291}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip…{A4050089-F7E3-41B7-B733-A5FD20CF19C9}: NameServer = 192.168.0.1
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\xp\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: WIKI.DLL,avgrsstx.dll
O20 - Winlogon Notify: jkkll - C:\WINDOWS\system32\jkkll.dll (file missing)
O20 - Winlogon Notify: md5hsh - md5hsh.dll (file missing)
O20 - Winlogon Notify: pmnmnnl - pmnmnnl.dll (file missing)
O21 - SSODL: sysprocapl - {2C522CC2-C21E-4354-C14D-03E1BF774264} - C:\Program Files\azlezdf\sysprocapl.dll
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\xp\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\xp\AVG\AVG8\avgwdsvc.exe
O23 - Service: FLEXnet Licensing Service - Unknown owner - —“C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe” (file missing)
O23 - Service: IAA Event Monitor (IAANTMon) - Unknown owner - —C:\Program Files\xp\Intel\Intel Application Accelerator\iaantmon.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - —“C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe” (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - D:\Program Files\xp\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: MGE Service module - Unknown owner - C:\WINDOWS\system32\MGE\RunSC.exe (file missing)
O23 - Service: NBService - Unknown owner - —C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe (file missing)
O23 - Service: NMIndexingService - Unknown owner - —“C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe” (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Unknown owner - —C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe (file missing)
O23 - Service: Onduleur (UPS) - Unknown owner - C:\WINDOWS\System32\ups2.exe (file missing)
O23 - Service: Winpower - Unknown owner - —C:\PROGRA~1\xpUpsPilot\Winpower.exe (file missing)
O23 - Service: Winpowermanager - Unknown owner - —C:\PROGRA~1\xpUpsPilot\manager.exe (file missing)
O23 - Service: Winpowermonitor - Unknown owner - —C:\PROGRA~1\xpUpsPilot\monitor.exe (file missing)
O23 - Service: WinpowerRMI - Unknown owner - —C:\PROGRA~1\xpUpsPilot\wpRMI.exe (file missing)
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - —“C:\Program Files\Windows Media Player\WMPNetwk.exe” (file missing)


End of file - 11840 bytes

3

Télécharge VundoFix
vundofix.atribune.org…
Exécute-le et lance le scan. Ensuite, clique sur remove Vundo et patiente. Lors de la demande du redémarrage, accepte. Après ce redémarrage, poste le rapport situé à la racine de ton disque dur. (C:\vundofix.txt)

Fais ensuite
une Analyse complete en mode sans Mode sans Echec avec Malwarebytes
www.commentcamarche.net…
poste le rrapport

ensuite en mode Classique rends toi ici
Bitdefender online scanner avec EXPLORER
www.bitdefender.com…
puis ici
ESET online scanner avec Expolrer
www.eset.eu…

dernier
TrendMicro Housecall
www.trendsecure.com…

poste les rapports

4

Salut pour info c’est pas internet explorer qu’il te signale mais explorer, lexplorateur windows :wink:

Dans hijackthis coche

Et fait fixed checked (élément infectieux)

Fait ce que Cricri58 ta dit et tu peut rajouter un scan en mode sans échec avec ton antivirus :wink:

[quote=""] O20 - Winlogon Notify: md5hsh - md5hsh.dll (file missing) [/quote] Fixe aussi celle la encore une infectieuse ;)
[quote=""] O20 - Winlogon Notify: pmnmnnl - pmnmnnl.dll (file missing) [/quote] Celle ci aussi ;)
5

Upload celui la sur virus total et post le rapport

Jai une question pourquoi installe tu tes programme dans un dossier XP en non directement dans programme file?
6

Pour KERIO :

NvCplDaemon = Carte graphique - Good
NvMediaCenter = Carte graphique - Good
nwiz = Carte graphique - Good

Ptipbmf = miniport drivers hard drive controllers in both RAID and non-RAID - Good
ctfmon.exe = processus Windows pouvant être désinstaller - interdire l’accès à internet - not bad

crypt32.dll = processus Windows - good
cryptnet.dll = processus Windows - good
cscdll.dll = processus Windows - good

jkkll.dll = infection "en force"de pub intempestive (lignes 04 du HijackThis)
LMlinit.dll = infection - encore en force ?
md5hsh.dll = infection supprimée
pmnmnnl.dll = infection supprimée

ScCertProp , Schedule, SensLogn, termsrv, wlballoon wlnotify.dll = processus Windows - good
sclgntfy.dll = processus Windows - good
WgaLogon.dll = processus Windows - good

.
Edité le 17/09/2008 à 16:27

7

Merci pour toutes vos aides!

Elles m’ont été très précieuses!

CRICRI58: grâce à tes conseils, j’ai éradiqué un trojan.vundo.h.
Effectivement Malwarebytes, exécuté en Mode sans échec, a trouvé mes problèmes et les a éradiqués!! Cela a été long (10 heures), car j’ai beaucoup de données, mais cela a bien fonctionné!

REMI70: tu avais raison! jkkll cachait un trojan.vundo.h

Pour info, voici le rapport de MBAM:

Malwarebytes’ Anti-Malware 1.28
Version de la base de données: 1163
Windows 5.1.2600 Service Pack 3

17/09/2008 16:12:11
mbam-log-2008-09-17 (04-12-11).txt

Type de recherche: Examen complet (C:|D:|E:|F:|I:|)
Eléments examinés: 364199
Temps écoulé: 10 hour(s), 19 minute(s), 35 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{259baff4-563b-493b-88cf-2eb69e011f9a} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkkll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID{259baff4-563b-493b-88cf-2eb69e011f9a} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID{2C522CC2-C21E-4354-C14D-03E1BF774264} (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\sysprocapl (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\jkkll.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Program Files\azlezdf\sysprocapl.dll (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

Merci de votre aide à tous, car tout seul je n’aurais pas trouvé car je pensais être bien protégé par AVG8 + SpyWare Blaster + SpyBot Search & Destroy qui n’ont rien vus…

… Je me demande si je vais pas acheté la licence de ce MBAM qui m’a sauvé mes données…

Encore merci à vous et @+

bruno
Edité le 17/09/2008 à 18:51

Au fait, comment indiqué au Forum que mon problème est résolu?